Deze browser wordt niet meer ondersteund.
Upgrade naar Microsoft Edge om te profiteren van de nieuwste functies, beveiligingsupdates en technische ondersteuning.
Van toepassing op: Azure Local 2311.2 en hoger
In dit artikel maakt u kennis met vertrouwde lancering voor virtuele Azure Arc-machines (VM's) in Azure Local. U kunt een vertrouwde start-ARC-VM maken met behulp van Azure Portal of met behulp van De Opdrachtregelinterface (CLI) van Azure.
Vertrouwde start voor Virtuele Azure Arc-machines maakt beveiligd opstarten mogelijk, installeert een virtueel vTPM-apparaat (Trusted Platform Module), draagt automatisch de vTPM-status over wanneer de VM wordt gemigreerd of een failover naar een andere computer binnen het systeem uitvoert en ondersteunt de mogelijkheid om te bevestigen of de virtuele machine is gestart in een bekende goede status.
Vertrouwd starten is een beveiligingstype dat kan worden opgegeven bij het maken van Arc-VM's in Azure Local. Zie Vertrouwde lancering voor Azure Arc-VM's in Azure Local voor meer informatie.
| Mogelijkheid | Voordeel |
|---|---|
| Beveiligd opstarten | Helpt het risico op malware (rootkits) tijdens het opstarten te verminderen door te controleren of opstartonderdelen zijn ondertekend door vertrouwde uitgevers. |
| vTPM | Gevirtualiseerde versie van een hardware-TPM die fungeert als een toegewezen kluis voor sleutels, certificaten en geheimen. |
| Statusoverdracht van vTPM | Behoudt vTPM wanneer de VM wordt gemigreerd of een failover in een cluster uitvoert. |
| Beveiliging op basis van virtualisatie (VBS) | Een gast in een virtuele machine kan geïsoleerde geheugenregio's maken met behulp van VBS-ondersteuning. |
Notitie
Verificatie van de opstartintegriteit van VM-gasten is niet beschikbaar.
IgvmAgent is een onderdeel dat op alle machines in het lokale Azure-systeem is geïnstalleerd. Het maakt ondersteuning mogelijk voor geïsoleerde VM's, zoals Trusted Launch Arc-VM's.
Als onderdeel van de Trusted Launch Arc-VM creatie, maakt Hyper-V VM-bestanden op een standaardlocatie op de schijf aan om de VM-status op te slaan. Standaard is de toegang tot deze VM-bestanden beperkt tot alleen hostserverbeheerders. Als u deze VM-bestanden op een andere locatie opslaat, moet u ervoor zorgen dat de locatie alleen toegang heeft tot hostserverbeheerders.
Livemigratie netwerkverkeer van VM's wordt niet versleuteld. We raden u ten zeerste aan een netwerklaagversleutelingstechnologie in te schakelen, zoals IPsec om livemigratienetwerkverkeer te beveiligen.
Alle Windows 11-installatiekopieën (met uitzondering van 24H2 Windows 11-SKU's) en Windows Server 2022-installatiekopieën van Azure Marketplace die worden ondersteund door Azure Arc-VM's, worden ondersteund. Zie Azure Local VM-installatiekopieën maken met behulp van Azure Marketplace-installatiekopieën voor een lijst met alle ondersteunde Windows 11-installatiekopieën.
Notitie
VM-gastinstallatiekopieën die buiten Azure Marketplace zijn verkregen, worden niet ondersteund.
Wanneer u werkt met Trusted launch Arc VM's, zorg ervoor dat u de volgende belangrijke overwegingen en beperkingen met betrekking tot back-up en herstel begrijpt:
Verschillen tussen Trusted Launch Arc-VM's en standaard Arc-VM's: In tegenstelling tot standaard Azure Arc-VM's gebruiken Trusted Launch Arc-VM's een sleutel om de gaststatus van de VM te beveiligen, met inbegrip van de status van de virtuele TPM (vTPM), terwijl de data zich in rust bevindt. De VM-beveiligingssleutel wordt opgeslagen in een lokale sleutelkluis in het lokale Azure-systeem waarin de VIRTUELE machine zich bevindt. Met vertrouwde start arc-VM's wordt de gaststatus van de VIRTUELE machine opgeslagen in twee bestanden: vm-gaststatus en runtimestatus van de VM. Als u een back-up van een vertrouwde opstart-VM wilt maken en herstellen, moet een back-upoplossing een back-up maken van alle VM-bestanden, inclusief de gaststatus en de runtimestatusbestanden, en daarnaast een back-up maken en de VM-beveiligingssleutel herstellen.
Back-up- en noodhersteltools ondersteuning: Momenteel bieden Trusted Launch Arc-VM's geen ondersteuning voor back-up- en noodhersteltools van derden of Microsoft, waaronder maar niet beperkt tot Azure Backup, Azure Site Recovery, Veeam en Commvault. Als er een noodzaak is om een vertrouwde launch Arc TVM naar een alternatief cluster te verplaatsen, zie het handmatige proces Handmatige back-up en herstel van vertrouwde launch Arc VMs om alle benodigde bestanden en VM-beveiligingssleutels te beheren en ervoor te zorgen dat de virtuele machine succesvol kan worden hersteld.
Notitie
Vertrouwde lancering Arc-VM's die zijn hersteld op een alternatief lokaal Azure-systeem, kunnen niet worden beheerd vanuit de Azure-besturingsinterface.
Training
Leertraject
Beveiliging van de host van virtuele machines in Azure implementeren - Training
Meer informatie over het beveiligen en beschermen van uw virtuele machines in Azure
Certificering
Microsoft Certified: Azure Virtual Desktop Specialty - Certifications
Plan, lever, beheer en bewaak ervaringen met virtuele bureaubladen en externe apps op Microsoft Azure voor elk apparaat.
Documentatie
Opslagpad maken voor installatiekopieën van lokale virtuele Azure-machines - Azure Local
Meer informatie over het maken van een opslagpad voor gebruik met VM-installatiekopieën voor uw lokale Azure-exemplaar.
Virtuele Arc-machines maken in Azure Local - Azure Local
Meer informatie over het weergeven van uw systeem in Azure Portal en het maken van virtuele Arc-machines in Azure Local.
Vereisten voor Azure Arc VM-beheer - Azure Local
Meer informatie over de vereisten voor het implementeren van Azure Arc VM-beheer voor Azure Local.